Ein Angreifer nutzte am 22. März 2026 eine Schwachstelle im Resolv-USR-Stablecoin-Minting-Vertrag aus und schuf etwa 80 Millionen ungesicherte Token aus rund 200.000 USDC, während er schätzungsweise 25 Millionen US-Dollar extrahierte. Dies führte dazu, dass USR auf Curve auf 0,025 USD abstürzte, bevor es sich teilweise auf etwa 0,85 USD erholte.
Der Exploit resultierte aus einer privilegierten Minting-Rolle, die von einem einzigen externen Eigentümerkonto (EOA) kontrolliert wurde, ohne Mint-Limits oder Orakel-Validierung. Der Angreifer konnte in einer Transaktion 50 Millionen USR und in einer weiteren 30 Millionen USR minten. Resolv Labs pausierte nach dem Vorfall alle Protokollfunktionen und erklärte, dass der Sicherheitenpool „vollständig intakt“ sei und „keine zugrunde liegenden Vermögenswerte“ verloren gingen, obwohl bestehende USR-Inhaber sofort Verluste durch die Verwässerung der Versorgung erlitten.
Der Angreifer konvertierte die geminteten Stablecoins in etwa 11.409 ETH (ungefähr 23,7 Mio. USD) und hält zusätzlich 1,1 Mio. USD in Wrapped USR-Token.
Angriffsmechanik und technische Schwachstellen
Exploit-Zeitplan
Der Angriff begann am 22. März gegen 2:21 UTC, wobei die erste Transaktion zeigte, dass der Angreifer 100.000 USDC in Resolv’s USR Counter Contract einzahlte und im Gegenzug 50 Millionen USR erhielt – etwa 500-mal die erwartete Menge. Eine zweite Transaktion mintete weitere 30 Millionen USR. Innerhalb von 17 Minuten nach der ersten Minting-Transaktion fiel USR auf 0,025 USD auf der liquidesten Curve-Finance-Pool.
Ursachen: Schwache Zugriffskontrollen
Onchain-Analyst Andrew Hong führte den Verstoß auf die SERVICE_ROLE des Protokolls zurück, eine privilegierte Rolle, die Swap-Anfragen ausführt. Kritische Schwachstellen waren:
Einzelkontrolle durch EOA: Die SERVICE_ROLE wurde von einem Standard-externen Eigentümerkonto kontrolliert, nicht von einer Multi-Signatur-Wallet.
Keine Mint-Limits: Der Mint-Vertrag hatte keine maximalen Mint-Limits.
Keine Orakel-Validierung: Es wurden keine Orakel-Checks implementiert, um Preise oder Sicherheiten zu verifizieren.
Fehlende Mengenvalidierung: Es gab keine Validierung zwischen Mint-Anfragen und deren Abschluss.
DeFi-Fonds wie D2 Finance nannten drei mögliche Erklärungen für den Exploit: Orakel-Manipulation, Kompromittierung des Off-Chain-Signers oder das Fehlen einer Mengenvalidierung zwischen Mint-Anfrage und Abschluss.
Sicherheitsnachbetrachtung
Resolvs Webseite prahlte mit 14 Prüfungen durch fünf Firmen, einem Immunefi-Bug-Bounty von 500.000 USD und kontinuierlicher Smart-Contract-Überwachung. Trotz dieser Maßnahmen blieb das Protokoll anfällig für eine Sicherheitslücke, die Experten als „Blindspot“ in der Sicherheitsabdeckung beschreiben – sensible Schlüssel und Anmeldeinformationen, die keine direkten Mittel halten, aber zum Zugriff auf diese verwendet werden können.
Ido Sofer, CEO der Schlüsselverwaltungsgesellschaft Sodot, sagte: „Dies steht im Zusammenhang mit einem wachsenden Trend von Angriffen, die sich auf die Blindstellen der Sicherheitsteams konzentrieren – sensible Schlüssel und Anmeldeinformationen, die keine Gelder direkt halten, aber zum Zugriff auf diese genutzt werden können.“
Markteinfluss und Nutzerverluste
USR-Preissturz und Erholung
USR, ein dollarpeg-stabiler Token, der eine delta-neutrale Absicherungsstrategie nutzt, die auf ETH und BTC statt auf Fiat-Reserven basiert, fiel innerhalb von 17 Minuten nach der ersten Minting-Transaktion auf 0,025 USD auf Curve. Der Token erholte sich später auf etwa 0,85 USD, hatte aber bis Sonntagmorgen seine Peg nicht wiederhergestellt.
Liquidität und Kollateralschäden
Der Angriff schuf 80 Millionen neue Token, was die bestehende Versorgung verwässerte. Der Verkauf der geminteten USR durch den Angreifer gegen USDC, USDT und letztlich ETH zerstörte die Liquidität der Pools. Jeder, der USR zum Zeitpunkt des Angriffs hielt, erlitt sofortige Verluste.
Der De-Peg führte zu Kaskadeneffekten in den DeFi-Kreditmärkten. USR und sein gestaketer Derivat wstUSR wurden als Sicherheiten auf Plattformen wie Morpho und Gauntlet akzeptiert. Opportunistische Händler kauften USR zu einem rabattierten Marktpreis und borgten USDC dagegen zum festgelegten Wert von 1 USD, was die Liquidität der Stablecoin-Vaults auslöschte.
RLP-Versicherungsschicht-Exposition
Der Schaden könnte sich auf die Junior-Tranche von Resolv, den Resolv Liquidity Pool (RLP), ausweiten, der als Versicherungsschicht Verluste absorbiert, um USR-Inhaber zu schützen. YieldsAndMore schätzte, dass RLP vor dem Exploit etwa 38,6 Mio. USD im Umlauf hatte. Der größte RLP-Inhaber ist Stream Finance, das Yield-Protokoll, das im November 2025 einen Verlust von 93 Mio. USD meldete, nachdem ein externer Fondsmanager Vermögenswerte veruntreut hatte. Stream hält eine Position von 13,6 Mio. RLP auf Morpho, was etwa 17 Mio. USD an Nettoexposure entspricht, sodass die Einleger möglicherweise einen weiteren erheblichen Verlust erleiden könnten.
Protokollhintergrund und Branchenkontext
Resolv-Übersicht
Resolv mit Sitz in Abu Dhabi sammelte im April 2025 eine Seed-Runde von 10 Mio. USD, angeführt von Cyber.Fund und Maven11, mit Beteiligung von Coinbase Ventures, Arrington Capital und Animoca Ventures. Das Protokoll wurde durch Delphi Labs inkubiert und bot Erträge durch Funding-Rate-Arbitrage sowie ein Dual-Tranche-System, das USR mit der risikobehafteten RLP-Versicherungsschicht koppelt.
Vor dem Angriff war die Marktkapitalisierung von USR bereits von etwa 400 Mio. USD Anfang Februar auf rund 100 Mio. USD gefallen. Der RESOLV-Governance-Token sank nach dem Exploit um etwa 8,5 %.
Trends bei DeFi-Exploits 2026
Der Vorfall bei Resolv reiht sich in eine wachsende Serie von Krypto-Exploits Anfang 2026 ein:
Januar 2026: Truebit verlor 26,6 Mio. USD, nachdem ein Angreifer eine Schwachstelle in einem vor fünf Jahren deployten Smart Contract ausnutzte.
Januar 2026: Makina Finance verlor rund 5 Mio. USD durch einen Flash-Loan-Orakel-Manipulationsangriff.
Ein Immunefi-Bericht der letzten Woche zeigte, dass der durchschnittliche Krypto-Hack jetzt etwa 25 Mio. USD kostet, wobei die fünf größten Exploits 2024-2025 62 % aller gestohlenen Gelder ausmachten.
Regulatorischer Kontext
Der Zeitpunkt des Exploits fällt mit aktiven US-Gesetzesdebatten über die Regulierung von ertragsbringenden Stablecoins im Rahmen des GENIUS-Gesetzes zusammen. Die American Bankers Association warnte, dass solche Produkte Einlagen von traditionellen Banken abziehen könnten, während Schlüssel-Senatoren am 20. März 2026 eine „grundsätzliche Einigung“ zur Behandlung von Stablecoin-Erträgen erzielten.
Häufig gestellte Fragen
Wie funktionierte der Resolv USR-Exploit?
Der Angreifer nutzte eine Schwachstelle im Resolv-Minting-Vertrag aus, bei der eine privilegierte Rolle (SERVICE_ROLE) von einem einzigen externen Eigentümerkonto kontrolliert wurde, ohne Mint-Limits, Orakel-Validierung oder Mengenprüfungen. Der Angreifer depositierte 100.000 USDC und erhielt 50 Millionen USR (500-mal die erwartete Menge), mintete anschließend in einer zweiten Transaktion weitere 30 Millionen USR, was insgesamt etwa 80 Millionen ungesicherte Token ergab.
Hat Resolv seine Sicherheiten verloren?
Resolv Labs erklärte, dass der Sicherheitenpool „vollständig intakt“ sei und „keine zugrunde liegenden Vermögenswerte“ verloren gingen. Diese Aussage unterschätzt jedoch den Schaden, da der Angriff in Form einer Versorgungserweiterung erfolgte, nicht durch direkten Diebstahl der Sicherheiten. Die 80 Millionen neuen Token verwässerten die bestehende USR-Versorgung, und der Verkauf des Angreifers zerstörte die Pool-Liquidität, was sofortige Verluste für USR-Inhaber verursachte.
Was war die Gesamtauswirkung des Exploits?
Der Angreifer extrahierte etwa 25 Mio. USD, konvertierte die geminteten USR in 11.409 ETH (ungefähr 23,7 Mio. USD) und hält zusätzlich 1,1 Mio. USD in Wrapped USR-Token. USR-Inhaber erlitten Verluste durch die Verwässerung der Versorgung, und DeFi-Kreditplattformen, die USR als Sicherheit akzeptierten, erlebten Liquiditätsverluste, da Händler die De-Peg ausnutzten, um gegen die überbewerteten Token zu leihen.
